备受关注的《个人信息保护法》草案提交十三届全国人大常委会第二十二次会议审议。
数字显示,截至2020年3月,中国互联网用户已达9亿,互联网网站超过400万,应用程序超过300万,个人信息的收集和应用更加广泛。应该看到,虽然近年来我国个人信息保护,但在现实生活中,一些企业、机构甚至个人,从商业利益、随机收集、非法获取、过度使用、非法销售个人信息,利用个人信息扰乱人民生活和平,危害人民生命健康和财产安全仍然非常突出。
“为及时响应广大人民群众的声音和期望,落实党中央的部署要求,制定个人信息保护专项法律,实现、维护和发展广大人民群众的个人信息权益具有重要意义。”全国人大常委会法律工作委员会副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法律保障的客观要求,是维护网络空间良好生态的实际需要,也是促进数字经济健康发展的重要措施。
草案共八章七十条。从内容上看,草案重点关注个人信息保护的突出问题,落实个人信息保护责任,加强对违法行为的处罚。
完善个人信息处理系列规则
“需要强调的是,在上述情况下,个人信息的处理也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”刘俊臣说。
草案确立了个人信息处理应遵循的原则,强调个人信息处理应采用合法、合法的方式,目的明确、合理,仅限于最小范围、开放处理规则、确保准确信息、采取安全保护措施等,并将上述原则贯穿于个人信息处理的整个过程、环节。
同时,草案也确立了“告知一同意”对于核心个人信息处理的一系列规则,要求个人信息处理应先充分通知的前提下获得个人同意,个人有权撤回同意;重要事项变更的,应当重新获得个人同意;不得以个人不同意为由拒绝提供产品或服务。
考虑到经济和社会生活的复杂性以及个人信息处理的不同情况,草案还规定了个人信息以外的法律处理。
草案还设立了一个特别节目,对敏感个人信息的处理有更严格的限制。只有在具体目的和充分必要的情况下,才能处理敏感的个人信息,并应单独或书面同意。
此外,草案还规定了国家机关处理个人信息的规则。在保证国家机关依法履行职责的同时,要求国家机关按照法律、行政法规规定的权限和程序处理个人信息。
明确适用范围 赋予本法必要的域外适用效力
同时,从相关国家和地区的实践中学习,草案还提供了必要的域外适用效果,以充分保护中国的个人权益。
草案规定,本法也适用于向国内自然人提供产品或服务的个人信息处理活动,或者对国内自然人的行为进行分析和评;并要求海外个人信息处理人在中国设立专门机构或指定代表,负责个人信息保护。
维护国家利益 完善跨境个人信息提供规则
同时,草案还提供跨境个人信息“告知—同意”提出更严格的要求。因国际司法协助或行政执法协助需要向国外提供个人信息的,应当依法向有关主管部门申请批准。
对损害中国公民个人信息权益的境外组织和个人,以及在个人信息保护方面采取不合理措施的国家和地区,草案规定了相应的措施。
实施保护责任 明确相关主体的权利和义务
同时,草案明确了个人信息处理人的合规管理义务,要求其制定内部管理制度和操作程序,采取相应的安全技术措施,指定负责人监督个人信息处理活动;定期审计个人信息活动;处理敏感个人信息、提供个人信息等高风险处理活动;履行个人信息泄露通知和补救义务。
明确职责分工 突出网信部门协调作用
草案还规定,国家网络信息部门和国务院有关部门负责个人信息的保护、监督和管理。
加大处罚力度,对违法行为设严格法律责任
草案规定,违反本法规定处理个人信息或者未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,处一百万元以下罚款;对直接责任人员和其他直接责任人员处一万元以上十万元以下罚款。
草案还规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或五百万元以下的罚款,可以责令暂停有关业务、停业整改、通知有关主管部门吊销营业执照或者吊销营业执照;对直接责任人员和其他直接责任人员处十万元以上一百万元以下的罚款。
本法规定的违法行为,依照有关法律、行政法规的规定记录在信用档案中并予以公示。
此外,草案规定,侵犯个人信息权益的民事赔偿金额,由人民法院根据实际情况确定。